定義
APIキーは、アプリケーション・プログラミング・インターフェース(API)にアクセスするための、シンプルなセキュリティ認証情報として機能する文字列です。APIを提供するサービス側に対して、呼び出し元のアプリケーションやユーザーを識別する役割を持ち、基本的な認証手段としてよく使われます。特にWebサービスや暗号資産・ブロックチェーン(blockchain)関連のサービスでは、多くのシステムで各リクエストにAPIキーを含めることで、サーバーがアクセスを許可するか拒否するかを判断できるようにしています。アクセス制御に役立つ一方で、APIキー単体は一般的に軽量なセキュリティ手段とみなされており、より強力な認証方式と組み合わせて使われることもあります。
暗号資産やブロックチェーン(blockchain)の文脈では、APIキーはウォレット(wallet)、トレーディングボット、分析ツール、その他のソフトウェアを、取引所やブロックチェーンデータプロバイダーに接続するためによく使われます。APIキーによってアクティビティが特定のアカウントやプロジェクトにひも付けられ、レート制限、権限設定、ログ取得などが可能になります。APIキーは、機密性の高い操作や情報へのアクセスを許可する場合があるため、秘密情報として厳重に管理する必要があります。もし流出すると、不正な第三者が正当なクライアントになりすましてAPIとやり取りできてしまう可能性があります。
かんたんに言うと
APIキーは、アプリがサービスに対して「自分が誰か」を証明するために見せる秘密のIDコードのようなものです。プログラムがオンラインサービスと通信するとき、そのプログラムはこのキーを送信し、サービス側はどのアプリからのリクエストかを判断します。そのうえでサービスは、そのアプリが何を見たり実行したりしてよいかを、このキーにもとづいて決めます。このような性質から、APIキーは認証と深く関わっており、共有や漏えいが起きないよう、厳重に保護しなければなりません。